文章总结： 全球超328万台Fortinet设备因CVE-2026-24858漏洞面临严重风险，该CVSS9.4分认证绕过漏洞正遭活跃利用。攻击者利用恶意账户通过SSO功能入侵设备并建立持久性。影响FortiOS等多个产品线。建议立即升级至补丁版本，禁用FortiCloudSSO功能，并排查是否存在audit等未授权管理员账户。 综合评分： 85 文章分类： 漏洞预警,漏洞分析,威胁情报

328万台Fortinet设备暴露的网络资产面临风险

FreeBuf

2026年2月2日 18:31 上海

全球超过328万台Fortinet设备被发现暴露在风险中，这些运行着存在漏洞的Fortinet设备的网络资产受到CVE-2026-24858的影响。这是一个已被野外利用的严重认证绕过漏洞。

该漏洞在CVSS评分系统中获得9.4分，影响多个Fortinet产品线，包括FortiOS、FortiManager、FortiAnalyzer、FortiProxy和FortiWeb。

Part01

关键认证绕过漏洞正遭活跃利用

CVE-2026-24858允许威胁行为者通过FortiCloud账户和已注册设备，在FortiCloud单点登录（SSO）功能启用时，认证进入其他组织的设备。

虽然该功能默认处于禁用状态，但管理员在FortiCare设备注册过程中经常会启用它，除非他们明确关闭”允许使用FortiCloud SSO进行管理登录”选项。

美国网络安全和基础设施安全局（CISA）于2026年1月27日将该漏洞添加到其已知被利用漏洞目录中，设定的修复截止日期为2026年1月30日，与本报告发布同日。

Fortinet于2026年1月22日确认了活跃利用情况，识别出两个恶意FortiCloud账户：[email protected]和[email protected]，这些账户应对攻击负责。

威胁行为者利用该漏洞下载设备配置并建立持久性访问。他们创建了使用常见名称的本地管理员账户，如”audit”、”backup”、”itadmin”、”secadmin”、”support”、”svcadmin”或”system”。

作为应对措施，Fortinet于2026年1月26日临时禁用了FortiCloud SSO功能，并在次日重新启用时添加了基于版本的限制，阻止存在漏洞的设备进行认证。

该漏洞影响Fortinet企业安全产品组合中的广泛版本。FortiOS 7.6.0至7.6.5、7.4.0至7.4.10、7.2.0至7.2.12以及7.0.0至7.0.18版本需要立即打补丁。

FortiManager和FortiAnalyzer存在类似的受影响版本范围，而FortiProxy和FortiWeb则在多个主要版本中存在风险。FortiSwitch Manager目前仍在调查中。

目前已有针对特定分支的补丁可用：FortiOS需要升级至7.4.11或7.6.6版本，FortiManager需要7.4.10或7.6.6版本，FortiAnalyzer则需要7.2.12或7.0.16版本。

根据Censys的建议，无法立即打补丁的组织应禁用FortiCloud SSO功能，并检查所有管理员账户是否存在与攻击者创建账户命名模式匹配的未授权用户。

参考来源：

3,280,081 Fortinet Devices Online With Exposed Web Properties Under Risk

3,280,081 Fortinet Devices Online With Exposed Web Properties Under Risk

#

#

#

推荐阅读

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《328万台Fortinet设备暴露的网络资产面临风险》